Tworzenie zasad ochrony przed utratą danych (DLP)
Dane organizacji mają krytyczne znaczenie dla jej sukcesu. Dane muszą być łatwo dostępne na potrzeby podejmowania decyzji, ale jednocześnie należy je chronić, aby nie zostały udostępnione osobom, które nie powinny mieć do nich dostępu. Aby chronić dane biznesowe, Power Automate daje możliwość tworzenia i egzekwowania zasad, które definiują, które łączniki mogą uzyskiwać do nich dostęp i je udostępniać. Zasady określające sposób udostępniania danych nazywamy zasadami ochrony przed utratą danych (DLP).
Administratorzy kontrolują polityki DLP. Skontaktuj się z administratorem, jeśli zasady DLP blokują Twoje przepływy pracy.
Zapobieganie utracie danych dla przepływów pulpitu
Power Automate umożliwia tworzenie i egzekwowanie zasad DLP, które klasyfikują moduły przepływu pulpitu i poszczególne akcje modułów jako Biznesowe, Niebiznesowe lub Zablokowane. Ta kategoryzacja uniemożliwia twórcom łączenie modułów i działań z różnych kategorii w przepływ pulpitu lub pomiędzy przepływem w chmurze a przepływami pulpitu, z których korzysta.
Ważne
- Wymuszanie zasad DLP będzie dostępne tylko w Środowiska zarządzane. Od stycznia 2025 r. zasady DLP będą oceniać tylko przepływy pulpitów znajdujące się w środowiskach zarządzanych.
- DLP dla przepływów pulpitu jest dostępne dla wersji programu Power Automate dla pulpitu 2.14.173.21294 lub nowszych. Jeśli używasz wcześniejszej wersji, odinstaluj ją i zaktualizuj do najnowszej wersji.
Wyświetlanie grup akcji przepływu pulpitu
Domyślnie grupy akcji przepływu pulpitu nie są wyświetlane podczas tworzenia zasad DLP. Należy włączyć ustawienie Pokaż akcje przepływu pulpitu w zasadach DLP w ustawieniach dzierżawy.
Jeśli wybrano publiczną wersję zapoznawczą, ustawienie Akcje przepływu pulpitu w DLP jest już włączone i nie można go zmienić.
Zaloguj się w Centrum administracyjnym Power Platform.
Na lewym panelu wybierz pozycję Ustawienia.
Na stronie Ustawienia dzierżawy wybierz Akcje przepływu pulpitu w DLP.
Włącz Pokaż akcje przepływu pulpitu w zasadach DLP, a następnie wybierz Zapisz.
Podczas tworzenia zasad dotyczących danych można teraz klasyfikować grupy akcji przepływu pulpitu.
Tworzenie zasad DLP z ograniczeniami przepływu pulpitu
Podczas edytowania lub tworzenia zasad grupy akcji przepływu pulpitu są dodawane do grupy domyślnej, a zasady zostaną zastosowane po zapisaniu. Zasady zostały wstrzymane, jeśli grupa domyślna została ustawiona na Zablokowane, a przepływy pulpitu są uruchomione w środowiskach docelowych.
Zasadami DLP dla przepływów pulpitu można zarządzać w taki sam sposób, jak łącznikami i akcjami przepływów w chmurze. Moduły przepływów pulpitu to grupy podobnych akcji, które są wyświetlane w Power Automate dla interfejsie użytkownika przepływu pulpitu. Moduł jest podobny do łączników, które są używane w przepływach chmurowych. Można zdefiniować zasady DLP, które zarządzają zarówno modułami przepływu pulpitu, jak i łącznikami przepływu w chmurze. Niektóre podstawowe moduły, takie jak Zmienne, nie mogą być zarządzane w zakresie polityki DLP, ponieważ prawie wszystkie przepływy pulpitu muszą z nich korzystać. Dowiedz się więcej o zasadach DLP i sposobach ich tworzenia.
Gdy dzierżawca zdecyduje się na dostęp do interfejsu użytkownika w aplikacji Power Platform, administratorzy będą automatycznie widzieć nowe moduły przepływu pulpitu w domyślnej grupie danych zasad DLP, które są przez nich tworzone lub aktualizowane.
Ostrzeżenie
Po dodaniu modułów przepływu pulpitu do zasad DLP, przepływy pulpitu dzierżawy są oceniane pod ich kątem i zawieszane, jeśli są niezgodne. Jeśli administrator utworzy lub zaktualizuje zasady DLP bez zauważenia nowych modułów, przepływy pulpitu mogą zostać nieoczekiwanie zawieszone.
Dotyczy przepływów pulpitu poza DLP
Szczegółowa kontrola nad wykorzystaniem przepływów pulpitu na wszystkich maszynach, jak opisano w poprzednich sekcjach, dotyczy tylko środowisk zarządzanych. Istnieją też inne opcje zarządzania przepływem pulpitu.
Możliwość kontrolowania orkiestracji przepływu pulpitu: łącznik przepływu pulpitu może być nadal zarządzany w zasadach, tak jak wszystkie inne łączniki we wszystkich środowiskach.
Możliwość zarządzania użyciem aplikacji klasycznych Power Automate : Przepływami pulpitu w Power Automate można zarządzać za pomocą obiektów zasad grupy (GPO). Zarządzanie to umożliwia włączanie lub wyłączanie przepływów pulpitu dla takich działań, jak ograniczenie do zestawu środowisk lub regionów, ograniczenie korzystania z typów kont i ograniczenie ręcznych aktualizacji.
Dowiedz się więcej o Zarządzanie w usłudze Power Automate.
Moduły przepływu pulpitu w DLP
W DLP dostępne są następujące moduły przepływu pulpitu:
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation Automatyzacja przeglądaki
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD session
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Clipboard
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Cryptography
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Usługi poznawcze firmy Google
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Message boxes
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Usługi poznawcze firmy Microsoft
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard Mysz i klawiatura
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.PowerAutomateSecretVariables Power Automate Secret Variables
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Run flow
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation Emulacja terminalu
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automation
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows Services
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML
Obsługa programu PowerShell dla modułów przepływu pulpitu
Jeśli nie chcesz włączać ustawienia Pokaż akcje przepływu pulpitu w zasadach DLP, możesz użyć następującego skryptu PowerShell, aby dodać wszystkie moduły przepływu pulpitu do grupy Zablokowane zasad DLP. Jeśli ustawienie zostało już włączona, nie musisz używać tego skryptu.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy
$desktopFlowModulesToAddToPolicy = @()
foreach ($modules in $desktopFlowModules) {
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$modules.id
name=$modules.Properties.displayName
type=$modules.type
}
}
# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose
Poniższy skrypt PowerShell dodaje dwa określone moduły przepływu pulpitu do domyślnej grupy danych polityki DLP.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules
$desktopFlowModulesToAddToPolicy = @()
$activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$activeDirectoryModule.id
name=$activeDirectoryModule.Properties.displayName
type=$activeDirectoryModule.type
}
$clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$clipboardModule.id
name=$clipboardModule.Properties.displayName
type=$clipboardModule.type
}
# Step #4: Add both modules to the default data group of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose
Skrypt PowerShell do rezygnacji z przepływów pulpitu
Jeśli nie chcesz korzystać z funkcji DLP dla przepływów pulpitu, możesz użyć następującego skryptu PowerShell, aby z niej zrezygnować.
# Step #1: Retrieve the DLP policy named 'My DLP Policy'
$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy
foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
$connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}
# Step #4: Save the updated policy
Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy
Po włączeniu zasad
Jeśli użytkownicy nie mają najnowszej wersji Power Automate dla komputerów stacjonarnych, egzekwowanie zasad DLP jest ograniczone. Nie widzą komunikatów o błędach w czasie projektowania, gdy próbują uruchamiać, debugować lub zapisywać przepływy pulpitu, które naruszają zasady DLP. Zadania w tle okresowo skanują przepływy pulpitu w środowisku i automatycznie zawieszają te, które naruszają zasady DLP. Użytkownicy nie mogą uruchamiać przepływów pulpitu z przepływu w chmurze, jeśli przepływ pulpitu narusza jakiekolwiek zasady zapobiegania utracie danych.
Twórcy posiadający najnowszą wersję Power Automate dla urządzeń stacjonarnych nie mogą debugować, uruchamiać ani zapisywać przepływów pulpitu, które naruszają zasady DLP. Nie mogą również wybrać przepływu pulpitu, który narusza zasady DLP z kroku przepływu w chmurze.
Egzekwowanie i zawieszenie DLP
- Podczas tworzenia lub edytowania przepływu usługa Power Automate ocenia go pod kątem bieżącego zestawu zasad DLP.
- Wymuszanie przepływów bez przepływu podrzędnego, czyli dla 99% przepływów, jest synchroniczne i występuje w czasie rzeczywistym.
- Wymuszanie przepływu z przepływem podrzędnym jest asynchroniczne, ponieważ przepływy podrzędne należy oceniać również, i występuje w ciągu 24 godzin.
- Gdy tworzysz lub zmieniasz zasady DLP, zadanie w tle skanuje wszystkie aktywne przepływy w środowisku, ocenia je, a następnie zawiesza przepływy, które naruszają zasady. Egzekwowanie jest asynchroniczne i następuje w ciągu 24 godzin. Jeśli zmiana zasad DLP nastąpi, gdy poprzednie zasady DLP są oceniane, wówczas ocena zostanie uruchomiona ponownie, aby upewnić się, że najnowsze zasady są egzekwowane.
- Co tydzień zadanie w tle sprawdza spójność wszystkich aktywnych przepływów w środowisku w porównaniu z zasadami DLP, aby upewnić się, że sprawdzanie zasad DLP nie było pominięte.
Reaktywacja DLP
Jeśli zadanie w tle wymuszania DLP znajdzie przepływ pulpitu, który nie narusza już żadnych zasad DLP, wówczas zadanie w tle automatycznie usuwa zawieszenie. Jednak zadanie wymuszania DLP w tle nie powoduje automatycznego zawieszenia przepływów w chmurze.
Proces zmiany wymuszania DLP
Okresowo egzekwowanie DLP musi ulec zmianie, ponieważ wdrażane są nowe funkcje DLP lub poprawki błędów lub wypełniana jest luka w egzekwowaniu. Jeśli zmiany mogą mieć wpływ na istniejące przepływy, należy zastosować następujący etapowy proces zarządzania zmianami wymuszania DLP:
Sprawdzenie: potwierdź konieczność zmiany wymuszania DLP i sprawdź szczegółowe informacje dotyczące tej zmiany.
Uczenie: implementuj zmianę i zbieraj dane dotyczące zakresu wszystkich jej skutków. Dokumentowanie zmian w egzekwowaniu DLP w celu wyjaśnienia zakresu zmiany. Jeśli dane wskazują, że na niektórych klientów wywrze to wielki wpływ, można wysyłać do nich informację o nadchodzącej zmianie. Jeśli zmiana ma szeroki wpływ na istniejące przepływy, to na późniejszym etapie w fazie uczenia się, gdy zadanie egzekwowania DLP w tle wykryje naruszenie w istniejącym przepływie, Power Automate powiadamia właścicieli przepływu, że przepływ zostanie zawieszony, aby mieli więcej czasu na reakcję.
Tylko powiadamiaj: włącz powiadomienia e-mail tylko w przypadku naruszeń DLP, aby właściciele istniejących przepływów byli powiadamiani o nadchodzącej zmianie wymuszania DLP. W momencie, gdy zadanie wymuszania DLP w tle znajdzie naruszenie w istniejącym przepływie, należy powiadomić właścicieli przepływu o jego wstrzymaniu. Ten mechanizm jest uruchamiany co tydzień.
Wymuszanie czasu projektowania: włącz wymuszanie czasu projektowania dla naruszeń DLP, aby właściciele istniejących przepływów byli powiadamiani o nadchodzącej zmianie wymuszania DLP, ale wszystkie zmienione przepływy uzyskują pełną ocenę zasad DLP w czasie projektowania. Nazywane jest to także wymuszaniem miękkim.
Czas projektowania: kiedy przepływ jest aktualizowany i zapisywany, użyj zaktualizowanego egzekwowania DLP i w razie potrzeby wstrzymaj przepływ, aby twórca był natychmiast świadomy egzekwowania.
Proces w tle: gdy zadanie wymuszania DLP w tle wykryje naruszenie w przepływie, powiadamia właścicieli przepływu, że przepływ zostanie zawieszony. Ten mechanizm obejmuje tworzenie lub zmiany zasad DLP i sprawdzanie spójności.
Wymuszanie pełne: włącz pełne wymuszanie naruszeń DLP, aby zasady DLP były w pełni wymuszane we wszystkich istniejących i nowych przepływach. Zasady DLP zostaną w pełni wymuszone, gdy przepływy są zapisywane podczas oceny zadań w tle wymuszenia DLP. Nazywane jest to także wymuszaniem twardym.
Lista zmian wymuszania DLP
Poniższa tabela zawiera listę zmian w egzekwowaniu DLP i datę ich wejścia w życie.
Date | opis | Przyczyna wprowadzenia zmiany | Etap | Dostępność wymuszania czasu projektu* | Pełna dostępność wymuszania* |
---|---|---|---|---|---|
Maj 2022 | Wymuszenie zadania w tle delegowanej autoryzacji | Zasady DLP są wymuszane na przepływach korzystających z delegowanej autoryzacji podczas zapisywania przepływu, ale nie podczas oceny zadania w tle. | Pełny | 2 czerwca 2022 roku | 21 lipca 2022 roku |
Maj 2022 | Żądanie egzekwowania wyzwalacza apiConnection | Zasady DLP nie były poprawnie egzekwowane dla niektórych wyzwalaczy. Wyzwalacze, których to dotyczy, mają type=Request i kind=apiConnection. Wiele z tych wyzwalaczy to wyzwalacze natychmiastowe, które są używane w przepływach natychmiastowych lub wyzwalanych ręcznie. Dotyczy to między innymi następujących wyzwalaczy. - Power BI – kliknięty przycisk Power BI - Teams – z pola redagowania (wersja 2) - OneDrive for Business – dla wybranego pliku - Dataverse: po uruchomieniu kroku przepływu z poziomu przepływu procesów biznesowych - Dataverse (starsza wersja): gdy rekord zostanie zaznaczony - Excel Online (Firma): dla zaznaczonego wiersza - SharePoint: dla wybranego elementu - Microsoft Copilot Studio: gdy Copilot Studio wywołuje przepływ (V2) |
Pełny | 2 czerwca 2022 roku | Sierpień 25, 2022 |
Lipiec 2022 r. | Wymuszanie zasad DLP dla przepływów podrzędnych | Włącz wymuszanie zasad DLP tak, aby uwzględniały przepływy podrzędne. Jeśli naruszenie można znaleźć w dowolnym miejscu w drzewie przepływu, przepływ nadrzędny został zawieszony. Po edytowaniu i zapisaniu przepływu podrzędnego w celu usunięcia naruszenia, przepływy nadrzędne można ponownie zapisać lub ponownie aktywować w celu ponownego uruchomienia oceny zasad DLP. Zmiana polegająca na zaprzestaniu blokowania przepływów dzieci w przypadku zablokowania łącznika HTTP zostanie wprowadzona wraz z pełnym wymuszaniem zasad DLP dotyczących przepływów dzieci. Gdy pełne wymuszanie jest dostępne, wymuszanie obejmuje podrzędne przepływy pulpitu. | Pełny | 14 lutego 2023 roku | Marzec 2023 |
Styczeń 2023 | Wymuszanie zasad DLP dla przepływów podrzędnych pulpitu | Włącz wymuszanie zasad DLP tak, aby uwzględniały przepływy podrzędne pulpitu. Jeśli naruszenie można znaleźć w dowolnym miejscu w drzewie przepływu, przepływ nadrzędny pulpitu został zawieszony. Po edytowaniu i zapisaniu przepływu pulpitu podrzędnego w celu usunięcia naruszenie przepływy pulpitu nadrzędnego są automatycznie ponownie aktywowane. | Pełny | - | Sierpień 2023 |
Październik 2024 | Wymuszanie kontroli akcji łącznika dla wyzwalaczy i akcji wewnętrznych | Rozszerz wymuszanie kontroli akcji łącznika, aby upewnić się, że wyzwalacze i akcje wewnętrzne są uwzględnione. Wyświetl je w centrum administracyjnym Power Platform i wymuś ich blokowanie, jeśli są indywidualnie przywoływane w zasadach DLP lub jeśli zasady DLP nie uwzględniły ich jako dozwolonych. | Nauka | Styczeń 2025 | Luty 2025 |
*Harmonogram dostępności może się zmienić i zależy od zestawienia.
Zawieszenie przepływu za naruszenie DLP
Wstrzymane przepływy są wyświetlane jako wstrzymane w Power Automate Maker Portal i centrum administracyjnym Power Platform. Gdy przepływ jest zwracany za pośrednictwem interfejsu API, PowerShell lub akcji łącznika Power Automate "as Admin", przepływ ma State=Suspended, FlowSuspensionReason=CompanyDlpViolation i wartość FlowSuspensionTime wskazującą, kiedy przepływ został zawieszony.
Znane ograniczenia
Dowiedz się o znanych problemach z DLP